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(-— «, L'auto-stabilisation garantit qu'à la fin d'une période de fautes transitoires, un système réparti retrouve de lui-même 

^sj un comportement correct en un temps fini. La spéculation consiste à garantir que le système soit correct pour toute 

, exécution mais possède des performances significativement meilleures pour un sous-ensemble d'exécutions qui sont 

O , supposées plus probables. Un protocole spéculatif est donc à la fois robuste et efficace en pratique. Nous introduisons 

_^f^ ici la notion de spéculation en auto-stabilisation en présentant un protocole spéculativement stabilisant d'exclusion mu- 

^ tuelle. Ce dernier stabilise pour toute exécution et son temps de stabilisation est optimal pour les exécutions synchrones. 
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1 Motivations 



L'approche spéculative Q repose sur l'existence d'un compromis permanent entre la robustesse et l'effi- 
O cacité des protocoles répartis. En effet, il est demandé aux applications réparties de tolérer à la fois un grand 

nombre de conditions difficiles (répartition des données, asynchronisme, fautes...) ainsi que de fournir les 
^—1 meilleures performances possibles (principalement en temps). Cependant, garantir la robustesse du proto- 

ï> cole repose sur des mécanismes comme la synchronisation ou la réplication qui induisent généralement de 

'^ mauvaises performances. L'approche spéculative suppose alors que, même si des exécutions présentant de 

^1^ mauvaises conditions sont toujours possibles, certaines exécutions favorables (par exemple synchrones et 

vQ sans fautes) sont plus probables. L'idée est alors de garantir que le protocole restera correct quelles que 

soient les conditions de l'exécution mais sera optimisé pour un sous-ensemble d'exécutions qui sont les 
plus probables en pratique. L'objectif de cet article est d'exploiter cette approche en auto-stabilisation. 
^^ L'auto-stabilisation |2| est une technique de tolérance aux fautes transitoires {i.e. de durée finie). Un 

système auto-stabilisant garantit qu'à la fin d'une faute transitoire (qui peut corrompre de manière arbitraire 
l'état du système), il retrouvera un comportement correct en un temps fini et sans aide extérieure. Dans 
cet article, nous définissons une nouvelle variante de l' auto-stabilisation dans laquelle la mesure principale 
de performance, le temps de stabilisation, est vue comme une fonction de l'adversaire et non comme une 
3 valeur unique. Nous associons à chaque adversaire (connu également sous le nom d'ordonnanceur ou de 

démon) le pire temps de stabilisation du protocole sur l'ensemble des exécutions décrites par cet adversaire. 
Nous pouvons alors définir un protocole spéculativement stabilisant comme un protocole auto-stabilisant 
sous un adversaire donné mais qui présente un temps de stabilisation significativement meilleur sous un 
autre adversaire (plus faible). De cette manière, nous nous assurons que le protocole stabilise sur un large 
ensemble d'exécutions mais est efficace sur un ensemble d'exécutions plus restreint (mais plus probables). 
Bien que cette notion de spéculation soit nouvelle dans le domaine de l' auto-stabilisation, certains pro- 
tocoles existants vérifient notre définition, en quelque sorte par accident. Par exemple, la complexité du 
protocole d'exclusion mutuelle de Dijkstra |2| tombe en n étapes sous le démon synchrone (oïl n est le 
nombre de processeurs). Cependant, ce résultat n'est pas optimal. La contribution principale de cet article 
est un nouveau protocole d'exclusion mutuelle spéculativement stabilisant. Nous prouvons que son temps 
de stabilisation pour les exécutions synchrones est de \diam{g)/2\ étapes (oïl diam{g) est le diamètre du 
système), ce qui améliore significativement la borne du protocole de Dijkstra. En réalité, nous prouvons que 
cela est optimal car nous présentons un résultat de borne inférieure sur le temps de stabilisation de l'exclu- 
sion mutuelle pour les exécutions synchrones. Ce résultat est intéressant en lui-même étant donné qu'il est 
indépendant de la spéculation. Pour finir, notre protocole ne requiert aucune hypothèse sur la topologie du 
système contrairement à celui de Dijkstra. 
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2 Modèle et définitions 

Nous considérons un système réparti. Le. un graphe non orienté connexe g où les sommets représentent 
les processeurs et les arêtes représentent les liens de communication. Deux processeurs m et v sont voisins 
si l'arête (m,v) existe dans g. L'ensemble des voisins de v est noté vois{v). Le nombre de processeurs et 
le diamètre du système sont respectivement notés n et diam{g). Chaque processeur v possède une iden- 
tité unique id^ e ID. Nous supposons que /D = {0, . . . ,n — 1}. Les variables d'un processeur définissent 
son état. L'ensemble des états des processeurs du système à un instant donné forme la configuration du 
système. L'ensemble des configurations du système est noté Y. Nous prenons comme modèle de calcul 
le modèle à états. Les variables des processeurs sont partagées : chaque processeur a un accès direct en 
lecture aux variables de ses voisins. En une étape atomique, chaque processeur peut lire son état et ceux 
de ses voisins et modifier son propre état. Un protocole est constitué d'un ensemble de règles de la forme 
< garde > — !►< action >. La garde est un prédicat sur l'état du processeur et de ses voisins tandis que 
l'action est une séquence d'instructions modifiant l'état du processeur. À chaque étape, chaque processeur 
évalue ses gardes. Il est dit activable si l'une d'elles est vraie. Il est alors autorisé à exécuter son action 
correspondante (en cas d'exécution simultanée, tous les processeurs activés prennent en compte l'état du 
système du début de l'étape). Les exécutions du système (séquences d'étapes) sont gérées par un ordon- 
nanceur (ou démon) : à chaque étape, il sélectionne au moins un processeur activable pour que celui-ci 
exécute sa règle. Cet ordonnanceur permet de modéliser l'asynchronisme du système. Il existe de nom- 
breuses variantes de démons {cf. \4]). Dans cet article, nous utiliserons le démon synchrone (à chaque étape, 
l'ensemble des processeurs activables sont sélectionnés par le démon), noté ds, et le démon inéquitable dis- 
tribué (aucune contrainte n'est donnée au démon), noté did. Nous définissons l'ordre partiel suivant sur 
l'ensemble des démons : d' ^ d si l'ensemble des exécutions autorisées par d' est inclus dans celui des 
exécutions autorisées par d. Le démon d' est alors dit plus faible que d. 

Définition 1 (Auto-stabilisation 1 2 1) Un protocole réparti %est auto-stabilisant pour la spécification spec 
sous un démon d si, partant de toute configuration de Y, toute exécution de 7t sous d contient une configu- 
ration à partir de laquelle toute exécution de 7t sous d vérifie spec. Nous notons temps-Stab{%,d) le temps 
de stabilisation de % sous d. 

Nous pouvons à présent introduire la définition principale de cet article qui formalise la notion de 
spéculation en auto-stabilisation. 

Définition 2 (Stabilisation spéculative) Pour deux démons d et d' vérifiant d' -< d, un protocole réparti % 
est {d,d' ,f)-spéculativement stabilisant pour la spécification spec si : (/) % est auto-stabilisant pour spec 
sous d et (a) f est une fonction telle que : temps Jtab{%,d)/temps établit, d') G ii(/)- 

3 Exclusion mutuelle 

L'exclusion mutuelle est un problème fondamental qui consiste à assurer que tout processeur peut exécuter 
infiniment souvent une section particulière de son code, appelée section critique, avec la garantie qu'il n'y 
ait jamais deux processeurs qui exécutent simultanément leur section critique. Notre contribution sur ce 
problème est de présenter un nouveau protocole auto-stabilisant sous le démon inéquitable distribué qui 
présente un temps de stabilisation optimal sous le démon synchrone. 

Nous adoptons la spécification suivante de l'exclusion mutuelle. Pour chaque processeur v, nous définis- 
sons un prédicat privilegCy. Un processeur v est privilégié dans une configuration y si et seulement si 
privilège^ = vrai dans y. Si un processeur v est privilégié dans une configuration y et que v est activé 
durant l'étape (y,/), alors v exécute sa section critique durant cette étape. 

Spécification 1 (Exclusion mutuelle specEu) Une exécution e vérifie specEM si au plus un processeur est 
privilégié dans toute configuration de e (sûreté) et si tout processeur exécute infiniment souvent sa section 
critique dans e (vivacité). 

Notre protocole est basé sur un protocole d'unisson auto-stabilisant 1 1 1. Ce problème consiste à assurer, 
sous le démon inéquitable distribué, des garanties sur les horloges logiques des processeurs. Chaque pro- 
cesseur possède un registre qui stocke la valeur actuelle de son horloge logique. Un protocole d'unisson 
assure alors que la différence entre les horloges de processeurs voisins est toujours bornée et que chaque 
horloge est infiniment souvent incrémentée. Dans la suite, nous résumons les résultats de UJ. 
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Unisson. Une horloge bornée X — (//,(j)) est un ensemble fini H — cerise{a,K) (paramétré par deux en- 
tiers a > 1 et K > 2) doté d'une fonction d'incrémentation (|) définie comme suit. 
Soit c un entier. Notons c l'unique élément de [0, . . . ,^~ 1] 
tel que c = c mod K. Nous définissons la distance dK{c, c') — _^ 

min{c~c' ^c' ~c} sur [0, . . . ,/r— 1]. Deux entiers cet c' sont 
localement comparables si dK{a,b) < 1. Nous définissons 
alors la relation d'ordre local </ comme suit '. c <i c' si 
et seulement si < c' — c < 1. Définissons cerise{a,K) = 
{—a,. ..,Q,...,K— l}. Soit (|) la fonction définie par : 

A ■ / i-\ ï (c+1) sic<0 

^ ' ' y [c+1) mod K smon 

La paire X = {cerise{a,K),(^) est une horloge bornée de 
valeur initiale —a et de taille K (voir Figure ^. Une va- -^ ' a '^- 

leur d'horloge c E cerise{a,K) est incrémentée quand cette • 

valeur est remplacée par (|)(c). Une ré-initialisation de X 

est une opération consistant à remplacer toute valeur de Figure 1: Une horloge bornée 
cerise{a,K) \ {—a} par —a. Soient respectivement initx = X = {cerise{a,K),(^) avec a = 5 et A: = 12 
{—a,. .. ,0} et stabx — {0,...,K —1} les ensembles de va- 
leurs initiales et correctes de X. Nous notons init^ = initx \ 
{0}, stab*^ = stabx \ {0} et <j„jt l'ordre total naturel sur initx- 

Soit un système réparti dans lequel tout processeur v a un registre r,, stockant une valeur d'une hor- 
loge bornée X = {H,(^) avec H = cerise{a,K). Nous définissons une configuration légitime pour l'unisson 
comme une configuration dans laquelle Vv EV,yu E vois{v), (r,, E stabx) A ('"m G stabx) A {dK{fv,ru) < !)■ 
En d'autres termes, une configuration légitime est une configuration telle que toute valeur d'horloge est 
correcte et l'écart entre les valeurs d'horloges de processeurs voisins est borné par 1. Nous notons Fi 
l'ensemble des configurations légitimes pour l'unisson. Il est important de noter que l'on a, pour toute 
configuration de Fi et toute paire de processeurs (m, v), c/Ar('"«,'"v) < diam{g). 

Spécification 2 (Unisson specuA) Une exécution e vérifie specjjA si toute configuration de e appartient à 
Fi (sûreté) et que l 'horloge de tout processeur est infiniment souvent incrémentée dans e (vivacité). 

Dans |1|, les auteurs proposent un protocole d'unisson auto-stabilisant sous le démon inéquitable dis- 
tribué. L'idée principale est de ré-initialiser l'horloge de tout processeur qui détecte une violation locale de 
la condition de sûreté {Le. l'existence d'un voisin ayant une valeur d'horloge non localement comparable). 
Autrement, un processeur est autorisé à incrémenter son horloge (que sa valeur soit correcte ou initiale) 
seulement si cette dernière a la valeur minimale localement. Le choix des paramètres a et /T est crucial. 
En particulier, pour rendre le protocole auto-stabilisant sous le démon inéquitable distribué, ces paramètres 
doivent satisfaire a > trou{g) — 2 et K > cyclo{g), où trou{g) et cyclo{g) sont deux constantes liées à la 
topologie de g. Plus précisément, trou{g) est la taille du plus grand trou de g (i.e. du plus long cycle sans 
corde), si g contient un cycle, 2 sinon. cyclo{g) est la caractéristique cyclomatique de g (i.e. la longueur du 
plus long cycle de la plus petite base de cycles de g), si g contient un cycle, 2 sinon. 

En réalité, 1 1 1 prouve que prendre a > trou{g) — 2 assure que le protocole converge en un temps fini vers 
une configuration de Fi et que prendre K > cyclo{g) assure que chaque processeur incrémente infiniment 
souvent son horloge. Par définition, nous savons que trou{g) et cyclo{g) sont majorés par n. 

Protocole d'exclusion mutuelle. L'idée principale de notre protocole est d'exécuter l'unisson auto- 
stabilisant de 1 1 1 présenté précédemment, avec une taille d'horloge particulière et d'accorder le privilège à 
un processeur seulement lorsque son horloge atteint une certaine valeur. La taille de l'horloge doit être suf- 
fisante pour assurer qu'au plus un processeur soit privilégié dans toute configuration de Fi. Si la définition 
du prédicat privilège garantit cette propriété, alors la stabilisation de notre protocole découle de celle de 
l'unisson sous-jacent. 

Plus précisément, nous choisissons une horloge bornée X = {cerise{(X,K),(^) avec a — n et K = 
(2.n — l){diam{g) + 1) +2 et nous définissons privilège^ = [r^ — 2.n + 2.diam{g).idy). Notre protocole. 
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Algorithme 1 "E^MSS : Protocole d'exclusion mutuelle pour le processeur v 

Constantes : 

idv elD n e N 

X = (cerise{n, {l.n— l){diam{g) + 1) + 2),(|)) diam{g) e N 

Variable : 
r,, e X : registre de v 

Prédicats : 

privUegCy = (ry = 2.n + 2.diam{g).idv) correctv{u) = (r^ G stabx)A (r„ G stabx) A {d[c{rv,ru) < 1) 

tousCorrectSy = Vm G voisiy) ,correcty(u) etapeNorm^ = tousCorrects^, A (Vm G vois{v),ri, <; r„) 

relnitv = -^tousCorrectSy A {r^ ^ initx) etapeCon\\, = ry G inzYjJ- A Vw G vo!i'(i'), (r,, G initx A r,. <,>„7 rj,) 

Règles : 
NA :: etapeNorniy — > r,, := (|)(r,,) CA :: etapeConVy — !> r,, := (|)(r,,) iM :: relnity — :► r,. := —n 

baptisé "EfMSS (pour Exclusion 5Vfutuelle 5péculativement Stabilisante) est présenté en Algorithme 1. Ce 
protocole est identique à celui de LU excepté pour la taille de l'horloge et la définition du prédicat privilège 
(qui n'interfère pas avec le protocole). 

Il est à noter que, par définition du prédicat privilège, deux processeurs ne peuvent pas être simultanément 
privilégiés dans une configuration de Fi (dans laquelle l'écart entre leurs horloges est d'au plus diam{g)). 
L'auto-stabilisation du protocole d'unisson de lH permet alors de déduire le théorème suivant (dont la 
preuve détaillée est disponible dans (3\). 

Théorème 1 'EfMSS est un protocole auto-stabilisant pour spec^M sous did. 

L'analyse du temps de stabilisation de notre protocole est disponible dans H. Pour le cas du démon 
synchrone, elle repose sur l'observation que, dans le pire cas, un seul processeur ré-initialise son horloge 
durant la première étape d'une exécution synchrone. Après cela, deux sections critiques concurrentes ne 
sont possibles que si cette ré-initialisation sépare deux groupes non vides de processeurs synchronisés, 
ce qui n'est possible que durant les \diam{g)/'ï\ étapes d'une une exécution synchrone (bien que la ré- 
initialisation puisse prendre plus longtemps pour couvrir tout le système). Pour le cas du démon inéquitable 
distribué, nous utilisons le fait que le temps de stabilisation de l'unisson majore celui de notre protocole. 

Théorème 2 temps jtab{'E!MSS ,ds) < \diam{g)/2] et temps jtab{'E!MSS , did) G 0{diam{g).r?) 

Le résultat de borne inférieure suivant nous montre l'optimalité de notre protocole spéculativement sta- 
bilisant pour les exécutions synchrones (sa preuve est disponible dans |3|). Il repose sur l'existence d'his- 
toriques indistinguables pour tout protocole qui convergerait plus rapidement, ce qui permet de construire 
un contre-exemple à la stabilisation d'un tel protocole. 
Théorème 3 Tout protocole % auto-stabilisant pour specEM vérifie temps-stab{'K,ds) > \diam{g)/2\. 



4 Perspectives 



Cet article ouvre une nouvelle voie de recherche en auto-stabilisation en introduisant la notion de sta- 
bilisation spéculative. Nous appliquons cette notion au problème de l'exclusion mutuelle en fournissant 
le premier protocole spéculativement stabilisant qui soit optimal pour les exécutions synchrones. Il se- 
rait intéressant d'appliquer cette approche à d'autres problèmes fondamentaux, d'optimiser les protocoles 
auto-stabilisants pour différents adversaires et de fournir un outil de composition qui fournirait de manière 
automatique des protocoles spéculativement stabilisants. 
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